发布时间 : 星期日 文章某市商业银行网络安全解决方案更新完毕开始阅读ad44587df46527d3240ce0b4
表五 网上银行的互联安全需求表
二、 针对安全风险的技术解决手段 2.1、 防火墙技术
防火墙可以作为不同网络或网络安全域之间信息的出入口,将内部网和公众网如Internet分开,它能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙技术可以有效控制的风险包括: 利用Finger来发掘用户信息?
利用TCP/IP指纹识别确定操作系统类型? 利用Telnet旗标确定操作系统类型? 利用服务的旗标信息确定服务类型? 用专用工具进行服务类型探测? 对服务器进行端口扫描?
利用Unix的FTP服务漏洞-SITE? EXEC漏洞 利用Unix的FTP服务漏洞-setproctitle()漏洞? 利用Bind服务漏洞? 利用Telnet服务漏洞? 利用后门与木马?
利用rpc.mountd服务漏洞? 利用sendmail服务漏洞? 利用lpd服务漏洞? 利用NFS服务漏洞? 利用X-windows服务漏洞? 绑定Shell端口? 利用IPC$列举用户名? 从AD上查找前置机主机?
Windows? RPC DCOM远程溢出-MS026 Windows RPC? DCOM远程溢出-MS039 网络蠕虫堵塞整个网络,影响生产网络?
利用前置机群与生产主机之间的信任关系攻击生产网络核心?
利用办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络? 蠕虫影响办公网内部Window平台? 蠕虫影响办公网内部邮件系统?
办公网应用形式较为丰富,因此对网络带宽消耗可能造成生产网的数据通信带宽不足,从而导致生产网不畅通
二级网点或支行与中心连接没有必要的访问控制和边界控制手段,因此来自二级网点或支行局域网的用户可能威胁办公自动化系统和中心生产系统
应用防火墙技术之后,有效的控制了上述风险的同时,可以简化管理,同时本节提出的防火墙技术可以降低管理员的负担,提供更多更灵活的选择。
2.2、 网络防病毒体系
计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户所面临的主要问题。
本方案采用网络防病毒体系,要求网络防病毒体系应针对整个网络或是单一的工作站都能进行有效保护的防病毒解决方案。可以对Windows 2000/NT/95/98/3.x,以及DOS和Macintosh,Novell NetWare,Linux和UNIX等操作系统提供保护,作为一个一体化的网络防病毒解决方案,应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序,从而检测到已知病毒。防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统,保护整个企业IT系统的安全,具有强大的功能和优秀的可管理性。
应用网络防病毒体系结构之后,可控制网络蠕虫堵塞整个网络,影响生产网络、病毒威胁桌面PC等风险:
应用了网络防病毒技术之后,可以从三个层面有效防范病毒的传播和蔓延: Internet下载? 软盘和光盘传播? 邮件传播?
2.3、 网络入侵检测技术
应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事件分析等技术要素,可实现如下风险的控制:
利用Lotus? Notes的Web服务器漏洞-Lotus Notes口令认证可被绕过 利用Lotus Notes的Web服务器漏洞-Lotus? Notes配置信息被远程读取 利用Unix的FTP服务漏洞-SITE? EXEC漏洞 利用Unix的FTP服务漏洞-setproctitle()漏洞? 利用Bind服务漏洞? 利用Telnet服务漏洞? 利用后门与木马?
利用rpc.mountd服务漏洞? 利用sendmail服务漏洞? 利用lpd服务漏洞? 利用NFS服务漏洞? 利用X-windows服务漏洞?
Windows? RPC DCOM远程溢出-MS026 Windows RPC? DCOM远程溢出-MS039
TCP登录会话劫持-发送一个伪造的报告到telnet/login/sh? 安装木马?
应用网络入侵检测技术之后不仅有效控制了上述风险,同时入侵检测要求如自身安全性、抗IDS逃避、抗事件风暴等技术要素,有效避免了入侵检测自身引入的新的风险,同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担。
2.4、 基于X.509证书的身份认证技术与SSL技术
针对某市商业银行办公自动化系统远程移动办公安全认证技术,本方案采用X509证书协议,为远程移动办公的身份认证提供基础保障。同时采用SSL技术实现了远程移动办公用户与办公自动化服务器之间的通信安全,在SSL中,利用如下安全机制保证认证信息不被篡改和伪造: 通过SSL协议完成客户端(浏览器)和服务器之间的双向身份认证。? 客户端数字证书和个人私钥存储在外部介质如USB-key中。?
由统一的用户管理中心中心为客户端和服务器分发的密钥对,其密钥长度≥1024bit。认证过程中使用证书吊销列表验证证书有效状态。?
应用证书身份认证与SSL技术以后控制的风险如下: 已知内部命名规范情况下暴力破解口令?
利用内部名单搜寻登录办公自动化系统的授权用户? 利用公开的默认口令尝试办公自动化系统? 获取内部公文?
获取帐表系统报表数据? 获取内部通讯录? 篡改公文内容?
网络窃听,获得更多广播信息? 窃听以明文方式传输的用户名和密码?
匿名用户利用WebSphare的Web服务缺陷远程获取敏感信息?
匿名用户利用WebSphare的Web服务缺陷远程绕过WebSphare的基本认证? 缺乏有效的身份认证手段识别远程企业用户和匿名用户? 企业用户远程交易时数据传输缺乏加密保证? 2.5、 网络安全审计技术
本方案采用网络安全审计技术,主要针对使用互联网访问非法站点,传递和发布非法信息,内部网络中的资源滥用,内部商业信息泄漏等等问题。对被监控网络中的Internet使用情况进行监控,对各种网络违规行为实时报告,甚至对某些特定的违规主机进行封锁,以帮助网络管理员对网络信息资源进行有效的管理和维护。
应用网络安全审计技术以后可以控制的风险包括: Internet资源被滥用? 获取内部公文?
获取帐表系统报表数据? 获取内部通讯录?
获取口令文件的shadow,破解系统管理员口令? 2.6、 VPN技术
针对某市商业银行保证生产网络、办公网以及通信机密性的需求,方案规划系统采用VPN技术解决方案。
应用VPN技术以后可以控制的风险包括: 窃听以明文方式传输的用户名和密码? 网络窃听,获得更多广播信息?
TCP登录会话劫持-发送一个伪造的报告到telnet/login/sh?
TCP登录会话劫持-从已存在的telnet/login/sh中窃听TCP报文序号? 获取下属支行或网点的业务数据?
获取业务数据中的敏感信息:如卡号、口令等?
网络窃听,获得更多广播信息:如前置主机群内别的业务系统数据? 在办公网通过修改IP进入生产网?
在办公网内通过网络窃听可以随意窃听整个局域网内的所有数据,包括生产网与办公网的数据?
三、产品解决方案
本文只给出总体部署,详细的安全产品选型及实际部署情况等略。
图 总体部署